东莞市科技馆无线wifi局域网络(wlan)建设项目

东莞市科技馆无线wifi局域网络(wlan)建设项目内容摘要：

东莞市科技馆无线 WIFI局域网络（ WLAN）建设项目 13 当 AP 与终端中间隔一座木板墙时， AP 的传送距离约剩下 15 米有效距离。 当 AP 与终端中间隔一座玻璃墙时 , AP 的传送距离约剩 下 15 米 有效距离。 所以在安装选点时，一定要注意以避开墙、柱子等。 根据国家无线电管理委员会 1997 年《 频段的管理办法》中规定的场强标准，选配不同技术规格的全向天线、扇区天线，既要考虑到每个信号输出点的电频强度，又要顾及信号对人体可能存在的危害，达到“绿色环保”的效果。 2）室内设计 室内覆盖规划原则： AP 的放置要遵循两个原则 AP 覆盖区域无间隙； AP 重叠区域最小。 相邻 AP 工作在不同频道，以 1， 6， 11 三个频道实现全方位的覆盖 ； 保证各个病房及办公公共区域的无线信号覆盖强度 60dbm。 3） AP位置规划及描述 根据上述室内的无线信号覆盖设计 ，此次东莞市科学技术博物馆大楼将布设 43 个 AP，地下展厅六个， 14 层展厅各 8 个，每个夹层各 1 个，其中 2 楼 10 个 （可根据实际需要进行调整）。 楼层 接入 AP 数 PoE 交换机端口数 备注 负一层 6 6 1 楼展厅 8 8 2 楼展厅 10 10 包含报告厅、球幕 3 楼展厅 8 8 4 楼展厅 8 8 夹层 1 1 1 夹层 2 1 1 夹层 3 1 1 合计 43 43 深圳市国信招标有限公司 东莞市科技馆无线 WIFI局域网络（ WLAN）建设项目 14 无线网络逻辑设计 1）无线网络冗余设计 无线 控制器 使东莞市科学技术博物馆能为支持关键业务应用的端到端无线局域网系统，创建和实施策略。 同时 WLC4402 控制器配备了用于自适应实时 RF（无线电射频）管理的内嵌软件。 WLAN 系统使用即将荣获专利的无线资源管理 (RRM)算法，来实时发现空中无线资源使用的变化并作出调整。 这些调整以类似于路由协议为 IP 网络计算最佳拓扑的方式，为无线网络创建最优拓扑。 无线局域网控制器 所管理的特定智能 RF 功能包括： 动态信道分配 — RF情况进行调整，以优化网络覆盖范围和性能。 干扰检测和避免 — 该系统 可检测干扰并重新调整网络，以避免性能问题。 负载均衡 — 此系统对多个接入点提供了自动的用户负载均衡，即使负载量很大，也能获得最优网络性能。 覆盖盲区检测和修复 — 无线资源管理 (RMM)软件可发现覆盖盲区，并尝试通过调整接入点的功率输出来修复它们。 动态功率控制 — 该系统可动态调整各接入点的功率输出，来适应不断变化的网络情况，以确保达到预期的无线性能和可用性。 针对此次无线网络， 需 配置无线控制器来提供中心冗余和负载均衡。 当单个控制器发生故障时，无线接入点可自动找到备用 无线局域网 控制器，来继续提供无线服务。 WLC4402 无线 局域网 控制器能以 N+1 冗余拓扑部署，使东莞市科学技术博物馆在扩展其无线网络的同时，确信他们不会发生硬件和软件问题。 当接入点发生故障时， WLC4402 无线局域网控制器 可自动调整邻近接入点的功率，以覆盖故障接入点原来提供服务的区域。 并且 WLC4402 无线控制器支持冗余电源，确保即使发生了电源故障，也可保持系统运行。 深圳市国信招标有限公司 东莞市科技馆无线 WIFI局域网络（ WLAN）建设项目 15 2） SSID 和 VLAN规划 根据东莞市科学技术博物馆大楼实际情况和应用需求，建议使用二种 SSID(可以根据具体用户以后业务需求增加 SSID)： 参展用户 SID－ guestSSID： 采用 Guest Vlan 特性限制访问，允许广播； 东莞市科学技术博物馆内网 SSID－ techMAC 地址认证 +WPA+，不允许广播； 为了有效的隔离广播域，提高整个大楼无线网络的性能，建议采用 APGroup 技术，将所有 AP划分不同的组（ Group），每一组 AP 为一个 VLAN。 所有客房公共区域，支持同一 SSID 的所有 AP，按照 AP 所处楼层、区域位置划分为不同的 APGroup，客户端接入不同 APGroup 时被分割到不同的 VLAN，获得不同网段的 IP 地址 ； 核心交换机完成 VLAN 间的路由。 3）馆内无线安全设计 基于馆内的局域网络，首先部署一台的 WLAN 控制器 ，这里所配置的 能够支持对 所有 AP 全面系统深入的管理。 无线控制控制器均通过 2 个千兆商品连接核心交换机，提供自动流量负载均衡和自动冗余。 通过无线控制器将两个不同 SSID 接入的无线终端分别接入两个互不相通的 vlan 中，达到隔离用户网络和点菜系统网络的目的。 无线终端通过无线 AP 接入有线网络，其它安全策略也与有线网络一致。 4）无线网络漫游设计 无线网络解决方案支持用户跨 AP、跨无线控制器无缝快速漫游，支持用户跨 2 层网络和 3 层网络无缝快速漫游，保 证用户在东莞市科学技术博物馆大楼内移动过程中 IP 地址不变、网络连接不间断、应用会话不间断，从而保证用户网络应用在移动中的不间断性。 第二层快速安全漫游：客户端在子网内部的无缝漫游――跨越不同的接入点和 VLAN 第三层快速安全漫游：客户端在子网之间的无缝漫游――跨越不同的接入点和 VLAN 深圳市国信招标有限公司 东莞市科技馆无线 WIFI局域网络（ WLAN）建设项目 16 的无线网络无缝漫游主要是基于瘦 AP 与无线控制器之间建立了一条虚拟的 LWAPP 隧道，在无线控制器中保存了每个瘦 AP 的 LWAPP 隧道。 这些对于客户端而言是透明的，当客户从一个 AP 漫游至另外一个 AP 信号覆盖范围时，客户端关联也将切 换至新的隧道。 漫游时，客户端的 IP 地址可以保持不变，不管客户端通过哪条 LWAPP 隧道连接到控制器。 5）无线网络接入安全设计 WLAN 的主要安全问题就是没有启用合适的安全特性，缺乏保护的 WLAN 的信号可能会散播到东莞市科学技术博物馆网络之外，被未经授权的人员――甚至恶意的黑客――发现和利用。 由于 WLAN的移动性，需要采用一种多层次的安全保障方法。 建议为防止网络遭受无线威胁而采取以下几个步骤： （ 1）启用 WLC 内置安全保护功能 WLC 内置了一些关键的安全特性：例如，控制器默认不允许 Multicast/broadcast 流量通过，除非管理员设置 控制器具备 ARP Proxy 功能： ARPs 和 Gratuitous ARPs 不会发送到 WLAN （ 2）控制器屏蔽 duplicate IP Spoofing 对于客户端，无线控制器扮演 DHCP relay 角色： WLAN 设置的 Advance 选项里，把 DHCP addr assignment required 打上勾是要求客户端必须从指定的 DHCP 获得地址。 这些安全功能都从根本上防止了类似 IP 地址欺骗、 ARP 攻击等类似攻击。 的无线控制器并且具有 ACL 的功 能，可以提供 L4L7 的过滤，提供类似防火墙的功能。 （ 3）保护 WLAN 系统 无线局域网控制器符合最严格的安全标准，包括： WiFi WPA2， WPA 和有线等效加密 (WEP) WEP（无线加密协议）：是无线网络上信息加密的一种标准方法。 它一方面用于防止没有正确的WEP 密钥的非法用户接入网络，另一方面只允许具有正确的 WEP 密钥的用户对数据进行加密和解密。 深圳市国信招标有限公司 东莞市科技馆无线 WIFI局域网络（ WLAN）建设项目 17 WPA 是 WEP 的替代方案，它是由 IEEE 安全规范派生而来，并与其兼容。 WPA 包括 80 认证和 TKIP 加 密 (更强和更安全形式的 WEP 加密）。 WPA2 是第二代 WPA 安全方案，也包含 认证。 根据 修订， WPA2 使用高级加密标准（ AES）保护数据保密。 ，是一种通过认证保护网络的端口访问协议。 此类型的验证方法在无线环境中因该媒体的性质而特别有用。 如果无线用户通过 网络访问验证，接入点上会打开一个用于通信的虚拟端口。 如果验证不成功，则不会提供虚拟端口，并将阻断通信。 带多种可扩展验证协议 (EAP)类型 — 受保护 EAP (PEAP)，带传输层安 全的 EAP(EAPTLS)，带隧道化 TLS 的 EAP (EAPTTLS)和LEAP。 同时的无线控制器支持 Guest Vlan 特性，针对 所有的 参展用户分配 的 Guest Vlan 的 SSID，使用简单的 Web 认证 允许客人 只能访问 Inter，而不能访问 东莞市科学技术博物馆的 的 内部网络 ，这样就可 以规避复杂的无线客户端的配置。 针对东莞市科学技术博物馆的需求建议采取 MAC 地址过滤及 、 WPA 加密认证策略限制来保证无线系统的安全。 （ 4）嵌入式无线 IDS 无线控制器内置了在线的 IDS，用于检测非法的 客户端和 AP。 当检测到非法的 AP 和客户端时，可以对非法 AP 或客户端最多可以通过 4 个 AP 进行压制，使其无法工作。 并且无线控制器实现的是有线 /无线一体化的安全策略，可以通过有线的 IPS 和防火墙实现对无线接入数据的 47 层的 IPS保护，并且可以联动。 轻型接入点和无线局域网控制器可以同时充当数据服务设备和 IDS 传感器。 这可以通过 LWAPP独有的分离 MAC 架构实现，即有些功能由接入点承担，另外一些由控制器承担。 LWAPP 分离 MAC 让轻型接入点可以在不中断数据服务的情况下扫描信道。 接入点和控制器拥有一个强大的攻击签名 库，它可用于检测无线威胁 ―― 包括恶意接入点，特殊网络，或者试图寻找无线网络漏洞的恶意人员。 轻型接入点可以在它们在工作时使用的信道上检测攻击，以及检测那些工作信道与它们不同的威胁，例如恶意接入点和特殊网络。 因为统一无线网络轻型接入点和无线局域网控制器都配有 证书，它们可以检测到伪装成网络中某个可靠接入点（充当一个 honeypot*）的未经授权的接入点。 统一无线网络还可以利用其强大的隔离恶意功能，消除因为恶意接入点所导致的威胁。 这种功能有助于确保客户端不会与恶意接入点建立关联。 深圳市国信招标有限公司 东莞市科技馆无线 WIFI局域网络（ WLAN）建设项目 18 （ 5）有线网络安全 考虑到东莞市科学技术博物馆无线网络针对所有用户提供无线上网，需要在核心有线网络设备部署较为严格的安全策略，将无线网络和有线网络进行逻辑的安全隔离。 无线网络管理系统 (WCS) 无线控制系统 (WCS)是业界进行无线局域网规划、配置和管理的领先平台。 它提供了一个强大的基础，使 IT 管理员能从中央地点设计、控制和监控企业无线网络，简化运营并降低总拥有成本。 WCS 是统一无线网络的一个组件。 针对此次 无线局域网建设 ，将使用 W。